|
在众多家用无线安全的方法中,MAC地址过滤可以算是比较有价值的一项,其资源消耗几乎可以忽略不计,即使它不能阻止那些知识丰富的攻击者短时间内攻克系统、获取访问权限的企图,它确实可以阻止一些自动化的、靠碰运气来攻击网络安全薄弱环节的攻击者。因为这些薄弱环节组成了无线访问点的重要部分,MAC过滤可以阻止那些靠运气来攻击无线网络的黑客,这也许可称之为一种有价值的方法吧
如何查看自己的MAC地址?
先要查到自己机器的MAC地址,单击“开始”→“运行”→输入“cmd”→回车,在出现的命令提示符界面中输“ipconfig /all”→回车,可以得到计算机的MAC地址,其中Physical Address就是计算机的MAC地址。 我的本本的MAC地址为00-1c-bf-xx-xx-xx。再在路由器设置中查一下主机的MAC地址,还是从192.168.1.1进入无线路由设置中,进入“高级设置”页面,进入“状态”页面,可以看到我家的主机MAC地址为:00:1C:10:xx:xx:xx(注意此处分隔符为:)。
如何应用MAC地址过滤?
首先,查看本地主机的MAC地址。接下来,在AP(无线接入点)配置MAC地址过滤。当终端设备检测到AP的信号后,即可发出连接请求,首先是向AP发送身份验证请求,在这个请求中包含目标网络的SSID,SSID需要在AP中设置,如果该网络为开放网络,SSID就为空,否则就不为空。AP就是根据客户端发送的SSID来判断是否通过验证,当验证通过后客户端设备就可以连接AP了。此时就发生了MAC地址过滤,MAC地址过滤有两种方式,第一种是白名单方式,指允许指定的MAC地址的信息通过而拒绝其他的MAC地址通过。另一种是黑名单方式,指定的MAC地址的信息被拒绝通过外其他的地址均可通过。其中白名单方式的限制相对比较多,安全性也较高,比较适合终端设备比较固定的场合使用,而黑名单方式主要是为了封堵部分用户而实现的。
什么是MAC?
MAC(MediaAccessControl,介质访问控制)地址,又叫硬件地址,网卡地址。MAC地址属于数据链路层的概念,它是底层网络来识别和寻找目标终端的依据,每一块网卡都有一个全球唯一的MAC地址。比如以太网卡,根据IEEE下属的以太网地址管理机构规定,以太网卡的MAC地址由48bit位组成,其中前24位(0—23位)由以太网卡生产厂商向以太网地址管理机构申请,后24位(24—47位)由厂家自行分配。这样就可以保证每一块以太网卡的MAC地址是全球唯一的,网卡在出厂前由就已经通过某种方式将MAC地址烧录进去了。这样也就可以保证所有接入无线网络的终端设备均有一个唯一的并各不相同的MAC地址,也就为MAC地址过滤技术做了理论上的保障。
MAC地址过滤原理及缺点?
MAC地址过滤位于AP中,会起到阻止非信任终端设备访问的作用。在终端设备试图与AP连接之前,MAC地址过滤会识别出非信任的MAC地址并阻止通信,使其不能访问信任网络,但是终端设备仍然可以连接到AP,只是被禁止了进一步的访问。由此可见,仅仅依靠MAC地址过滤是不够的,还应该配合其他的策略才能达到较为安全的级别。
对于无线网络而言,使用MAC地址过滤简化了访问控制,可以在网络边界阻止了入侵。但是在实际应用中,仍然存在很多需要进一步完善的地方。首先,使用MAC地址过滤将增大管理员的负担。管理负担取决于访问该无线网络的客户端实际数量,客户端越多,管理负担越大。特别是单位因为员工的变动而增加、报废硬件设备时,管理员就应该从访问控制类表增加或者删除使用相应MAC地址,这样就会进一步加大管理负担。此外,使用MAC地址过滤无法检测出非法的终端设备通过对使用MAC地址编程来欺骗使用MAC地址过滤。因为使用MAC地址过滤虽然能阻止非法的客户端对信任网络的进一步访问,但是它不能断开客户端与AP的连接,这样就使得攻击者可以嗅探到通信,并从帧中公开的位置获取合法的使用MAC地址。然后通过对无线信号进行监控,一旦授权用户没有出现,入侵者就使用授权用户的使用MAC地址进行访问。 |
|